打造金融业信息安全等级保护平台

打造金融业信息安全等级保护平台
　　
加强信息安全保障工作，实行信息安全等级保护，是从整体上和根本上解决国家信息安全问题的治本之道，是开展信息安全保护工作的有效办法及发展方向。如何打造金融业自身的信息安全等级保护平台，成为当前的首要课题。

一、实施信息安全等级保护的意义和价值

信息安全涉及国家利益、安全和主权。2007年7月16日，我国公安部、国家b_m局、国家密码管理局、国务院信息化办公室四部委联合发布“关于开展全国重要信息系统安全等级保护定级工作的通知”，随后在全国范围各行业各省市内组织开展了重要信息系统安全等级保护定级工作。根据四部委的精神和要求，2007年8月31日，中国人民银行联合银监会下发关于印发《开展银行业金融机构重要信息系统安全等级保护定级工作》的通知，文件要求各单位依照《信息安全等级保护管理办法》和关于印发《信息安全技术信息系统安全
……（新文秘网https://www.wm114.cn省略617字，正式会员可完整阅读）……　
来，检查应用单位是否采取了相应的安全措施。国家制订推荐性标准为指导各应用单位具体落实提供参考。

行业需要依据自身特点，细化国家标准。虽然国家已制订的等保标准非常细致，但越细越存在可操作性的问题，各单位会因实际情况不同而与标准产生冲突。国家标准是供很多单位共同参考，太细了反而缺乏可操作性。

目前银行业只看到了国家标准，而不知道行业具体标准。作为行业监管部门，首先要让各银行了解等保的具体依据，并对照执行。在实施过程中，不断积累应用单位的反馈意见，根据国家要求制订详细的行业规范性指导文件，最终汇总形成行业标准。

三、从构建金融业的测评体系切入

通过对美国、英国、德国、法国、澳大利亚、加拿大、荷兰等国家信息安全测评认证体系的研究，可以发现，国外的信息安全测评认证体系由三部分组成：一个测评认证管理委员会，一般由国家的信息安全主管部门和技术监督及标准化主管部门联合组织与管理；一个测评认证实体，即认证机构，通常是直属_安全机关的职能部门，代表国家实行权威公正的认证；多个技术测评机构，即授权测评机构，具有技术能力和工程经验的企业、公司或研究机构，其能力需达到各国国家实验室认可准则的要求。

测评认证管理委员会负责制订国家信息安全评估认证政策，监督认证机构和仲裁诉讼及争议，代表国家对信息安全测评认证实体运作的独立性和在测评认证活动中的公正性、科学性以及规范性，实施监督管理。

认证机构即行业监管部门，具体实施信息安全测评认证体系的运作，负责监管授权测评机构。
授权测评机构是认证实体授权并通过国家实验室认可机构认可的实验室，是业务受认证机构监督并与认证机构签署相关合同获准开展测评工作的公司或组织。授权测评机构作为独立于开发者和出资者的第三方，能够保证客观性、公正性和对评估信息的b_m。

国外测评认证体系中有两类测评机构，一类是商业性测评机构，这类机构向社会提供评估服务，它们必须由认证实体批准，并具备足够的技术实力，并保证客观公正和为用户b_m。另一种是政府的测评机构，政府测评机构主要实施面向政府的评估和与国j-a全及国防事务有关的评估。后者更值得我们研究和借鉴。

四、等保测评体系组织架构及职责初探

虽然有国外的经验可供借鉴，但建立具有中国特色的金融行业安全等级保护测评机构组织架构还需要在实践中认真探索。鉴于金融行业在国民经济中的重要地位和特殊影响，在进行等级保护测评机构和实验室的选择上一定要慎重，考虑安全、b_m等各方面的因素，并在行业监管部门的指导下以非盈利模式开展测评活动。中国金融电子化公司测评中心经过专门的研究，初步提出了金融业等级保护测评体系的组织架构模型，如图所示。
金融行业等级保护管理委员会是由行业内信息安全专家组成的一个常设机构，主要履行以下职责：组织和协调等保测评活动，建立测评体系的规则、程序和管理颁发；对金融行业信息系统按照国家等级保护规定进行强制实施，并接收申请者关于测评的上诉。

金融行业信息安全监管机构，主要履行以下职责：接受信息系统等保测评申请；安排部署等保测评工作，并在测评过程中与申请者保持联系；为每个生产者指定合格的测评机构或实验室；组织测评活动；通过委派合 ……（未完，全文共2726字，当前仅显示1733字，请阅读下面提示信息。收藏《打造金融业信息安全等级保护平台》）